Domeniul unui site web trebuie să aibă criptare SSL/TLS dacă intenționează să atragă vizitatori. Certificatele SSL/TLS oferă o conexiune puternică între serverele web și browsere. Anterior, securitatea nu era o preocupare majoră. Era relativ obișnuit ca site-urile web să livreze date prin protocolul HTTP stabilit. În zilele noastre, canalul folosit pentru a comunica cu serverul trebuie însă securizat, deoarece infracțiunile cibernetice, inclusiv furtul de identitate, frauda cu cardul de credit și spionajul sunt în creștere.
O autoritate de certificare (CA) numită Let’s Encrypt oferă certificate SSL/TLS gratuite, permițând criptarea HTTPS pe serverele web. Domeniul este verificat, deci nu este necesară o adresă IP dedicată. De obicei, este recomandat să aveți un certificat SSL activat pe site-ul dvs. pentru a vă îmbunătăți clasarea SEO, în special pe Google.
Funcționarea Let’s Encrypt
Let’s Encrypt confirmă proprietatea domeniului înainte de a furniza un certificat. Când jetonul este validat, serverul de validare Let’s Encrypt face o solicitare HTTP pentru a obține fișierul și se asigură că înregistrarea DNS a domeniului indică serverul care găzduiește clientul Let’s Encrypt.
Cerințe
Trebuie să faceți următoarele înainte de a utiliza Let's Encrypt:
Urmând instrucțiunile din acest prim tutorial de configurare a serverului pentru Ubuntu 20.04, odată ce serverul Ubuntu 20.04 este configurat, complet cu un firewall și un utilizator non-root cu acces sudo.
Un nume de domeniu cu înregistrare. Pe parcursul acestui articol, myfirstproject1.com va fi folosit. Puteți cumpăra un domeniu.
Următoarele două înregistrări DNS sunt configurate pe serverul dvs.
- O înregistrare „myproject1” cu myfirstproject1.com indicând adresa IP publică a serverului dvs
- O înregistrare „myproject2” cu myfirstproject2.com indicând adresa IP publică a serverului dumneavoastră.
Nginx ar trebui să fie instalat și trebuie să vă asigurați că domeniul dvs. are un bloc de server.
Pași pentru instalarea Let’s Encrypt pe Digital Ocean
Principalii pași pentru instalarea Let’s Encrypt pe oceanul digital sunt:
Instalarea Certbot
Software-ul Certbot este nevoia principală pentru utilizarea Let’s Encrypt pentru a obține un certificat SSL. Pentru a instala Certbot și pluginul său Nginx, folosim următoarea comandă:
Majoritatea companiilor de găzduire partajată și unele companii de găzduire în cloud încorporează Certbot sau un plugin similar în panoul de găzduire a site-ului web, care vă permite să achiziționați, să reînnoiți și să administrați certificate SSL/TLS prin câteva clicuri.
În timp ce „python3-certbot-nginx” este un pachet folosit pentru:
Demonstrați imediat CA Let’s Encrypt că sunteți responsabil de site-ul web.
- Păstrați evidența când trebuie actualizată licența și când este pe cale să expire.
- Obțineți și instalați un certificat de încredere pentru browser pe orice server web.
- Vă ajut în revocarea certificatului dacă este necesar.
Certbot este acum gata de utilizare, dar unele dintre setările sale trebuie să fie confirmate înainte de a putea configura automat SSL pentru Nginx.
Verificarea configurației lui Nginx
Certbot ar trebui să poată configura automat SSL. Trebuie să poată localiza blocul de server corespunzător în configurația dvs. Nginx. Mai exact, realizează acest lucru prin căutarea unei directive de nume de server corespunzătoare domeniului pentru care solicitați un certificat.
Ar trebui să aibă deja directiva de nume de server configurată corect într-un bloc de server pentru domeniu, pe care îl vom folosi la „/etc/nginx/sites-available/myfirstproject1.com”.
Deschideți fișierul de configurare a domeniului în nano sau în alt editor de text pentru a verifica dacă fișierul dvs. va fi deschis dacă există, închideți editorul și treceți la următoarea acțiune. Numele serverului va arăta ca „server_name domain_name www.domain_name.com „, așa cum se arată în fragmentul de mai jos.
Dacă nu se schimbă, corespunde. Verificați sintaxa modificărilor configurației după salvarea fișierului și închiderea editorului. Utilizați instrucțiunile ulterioare pentru a verifica:
$ sudo nginx –tReîncărcați Nginx pentru a încărca configurația actualizată după ce vă asigurați că sintaxa fișierului de configurare este corectă:
$ sudo systemctl reîncărcați nginxAcum, Certbot poate localiza automat blocul de server potrivit și îl poate actualiza. Un systemctl este responsabil de inspectarea și gestionarea sistemului systemd și managementul serviciilor. Acesta servește ca înlocuitor al demonului de inițializare System V și constă din mai multe biblioteci de administrare a sistemului, instrumente și daemoni.
Activarea HTTPS prin firewall
Recomandările necesare vă sfătuiesc să activați paravanul de protecție UFW. Trebuie să modificați setările pentru a permite traficul HTTPS.
Opțiunea de stare UFW ne permite să vedem cea mai recentă stare a UFW. Starea UFW afișează o listă de reglementări dacă UFW este activat. Desigur, dacă aveți acreditările necesare, puteți rula comanda doar ca utilizator root sau prefixând-o cu sudo.
Activați profilul complet Nginx și eliminați permisiunea inutilă a profilului HTTP Nginx pentru a permite și traficul HTTPS:
Fragmentul anterior arată metoda de a permite traficul complet de la Nginx, iar al doilea arată cum să ștergem celălalt trafic pe care l-am permis.
Cum să obțineți un certificat SSL
Cu ajutorul pluginurilor, Certbot oferă mai multe modalități de a obține certificate SSL. Configurarea lui Nginx și reîncărcarea configurației vor fi gestionate de pluginul Nginx după cum este necesar.
Utilizați Certbot pentru a obține imediat certificatul SSL al domeniului. Pentru a indica domeniul, este necesar un argument „-d”. Un certificat este emis de Let’s Encrypt pentru subdomeniul www și rădăcină. Este necesar să obțineți certificatul pentru ambele versiuni, deoarece dacă aveți unul singur pentru oricare dintre versiuni, va avea ca rezultat un avertisment în browser dacă un vizitator vede cealaltă versiune. Pentru utilizatorii noi, certbot vă solicită să furnizați e-mailul pentru primul și să confirmați că sunteți de acord cu termenii și condițiile.
Dacă aceasta a avut succes, ți-ar cere să faci selecția și să apeși ENTER. După actualizarea configurației, Nginx va reîncărca și va lua în considerare noile setări. După terminare, certbot vă va anunța că procedura a avut succes.
Concluzie
În acest ghid, am demonstrat cum să instalați și să utilizați certbot-ul software Let’s Encrypt, să obțineți un certificat SSL, să configurați actualizarea automată pentru un certificat SSL și să configurați Nginx. În plus, v-am oferit și câteva exemple de situații care ar putea duce la probleme de compilare atunci când utilizați Let’s Encrypt Digital Ocean.